如何在Kali Linux中使用SlowHTTPTest(测试服务器Slowloris保护)执行DoS攻击”Slow HTTP”
本文概述
- 1.安装慢速httptest
- 2.运行测试
文章图片
很简单, 对吧?但是, 对于配置错误的服务器来说, 这可能是个厄运, 硬件不会被推到极限, 但是它基本上是为了教育而挂起的……(我知道这是一个糟糕的例子)。没听懂吗?想象一下, 将100个老祖母送到一家商店, 他们所有人都在试图讲述一个从童年到收银员的故事, 以便其他顾客都买不到任何东西。为了教育, 收银员不会把祖母踢出商店, 直到他们讲完这个故事。
因此, 如何轻松地对服务器进行此类攻击而又不死于尝试? SlowHTTPTest是一个高度可配置的工具, 它通过以不同方式延长HTTP连接来模拟某些” 应用程序层拒绝服务” 攻击。用它来测试你的Web服务器的DoS漏洞, 或者只是弄清楚它可以处理多少个并发连接。 SlowHTTPTest可在大多数Linux平台, OS X和Cygwin(适用于Microsoft Windows的类似于Unix的环境和命令行界面)上运行, 并带有Dockerfile来使事情变得更加容易。
当前, slowhttptest库支持的攻击是:
- Slowloris
- 缓慢的HTTP POST
- Apache Range标头
- 慢读
1.安装慢速httptest 存储库中提供了Slowhttptest库, 因此你可以使用以下命令从命令行轻松安装它:
# update repos firstsudo apt-get update# Install the toolsudo apt-get install slowhttptest
有关此工具的更多信息, 请访问Github上的官方存储库。
2.运行测试 Slowloris和Slow HTTP POST DoS攻击依赖于以下事实:根据设计, HTTP协议要求服务器在处理请求之前将其完全接收。如果HTTP请求未完成, 或者传输速率很低, 则服务器将使其资源繁忙, 以等待其余数据。如果服务器使过多的资源繁忙, 则会导致拒绝服务。该工具正在发送部分HTTP请求, 试图从目标HTTP服务器获得拒绝服务。
慢读DoS攻击的目标资源与慢传和慢速POST相同, 但是它不会延长请求, 而是发送合法的HTTP请求并缓慢读取响应。运行攻击以检查服务器是否为以下服务器的命令:
请注意, 如果在目标服务器上没有针对这种攻击的保护措施, 这将使服务器挂起。
slowhttptest -c 500 -H -g -o ./output_file -i 10 -r 200 -t GET -u http://yourwebsite-or-server-ip.com -x 24 -p 2
命令描述如下:
- -c:指定在测试过程中建立的目标连接数(在此示例中为500, 通常200个足以挂起没有这种攻击保护功能的服务器)。
- -H:在SlowLoris模式下启动slowhttptest, 发送未完成的HTTP请求。
- -g:当测试以文件名中的时间戳记结束时, 强制slowhttptest生成CSV和HTML文件。
- -o:指定自定义文件名, 对-g有效。
- -i:指定慢速跟踪和慢速POST测试的后续数据之间的间隔(以秒为单位)。
- -r:指定连接速率(每秒)。
- -t:指定在HTTP请求中使用的动词(POST, GET等)。
- -u:指定要攻击的服务器的URL或IP。
- -x:以” 慢读” 模式启动slowhttptest, 并缓慢读取HTTP响应。
- -p:指定在将服务器标记为DoSed之前, 等待探针响应HTTP响应的间隔(以秒为单位)。
文章图片
如你所见, 我们的目标是我们自己的网站, 但是即使有500个连接, 我们的服务器也不会挂起, 因为我们确实可以防御这种攻击。如果目标可达到, 则可用的服务将始终为” 是” 。你可以使用另一台计算机/网络测试该网站是否确实仍在运行。由我们的选项创建的HTML生成输出将是以下内容:
文章图片
但是, 如果我们禁用服务器中针对慢速HTTP攻击的防护, 该怎么办?嗯, 输出应该不同, 并且目标服务器上的网站将无法访问:
文章图片
不要总是信任可提供服务的消息, 只需尝试从浏览器访问真实网站, 你就会看到它是否有效。由于网站无法访问, 这次生成的输出有所不同:
文章图片
请注意, 慢速HTTP测试需要在你自己的服务器上执行, 请勿在未经其同意的任何第三方服务器上运行这种测试, 因为这可能会给你带来很多麻烦(这是非法的)。该工具旨在用于测试你自己的服务器并对其实施保护。我们写了一篇很好的文章, 介绍如何使用QoS保护Apache服务器免受这种攻击。
此外, 请勿尝试在我们的网站(ourcodeworld.com)上进行此攻击, 因为我们显然可以抵御此攻击, 并且如果我们追踪到你的意图, 则你的IP可能会被禁止, 谢谢!
【如何在Kali Linux中使用SlowHTTPTest(测试服务器Slowloris保护)执行DoS攻击” Slow HTTP” 】编码愉快!
推荐阅读
- 如何在Kali Linux中使用Nikto2扫描Web服务器漏洞
- 使用Android O的画中画功能
- 回到Android中的后备堆栈中的不同Activity
- 在Android中启动服务
- 如何检查Android应用程序是在后台还是前台或终止()
- 将Button链接到android中的现有活动
- 带有onClick项目的Android ListView
- Android应用开始和结束事件
- 将App发送回最近的应用程序堆栈android